Laboratório Técnico: Interpret Access Assignments
Questões
Questão 1 — Múltipla Escolha
Um administrador precisa garantir que um grupo de segurança chamado Equipe-Financeiro tenha acesso de leitura a todos os recursos dentro de uma assinatura, mas sem permissão para modificar políticas de acesso de outros usuários. Qual combinação de escopo e função built-in atende a esse requisito com o menor privilégio possível?
A) Função Owner no escopo da assinatura
B) Função Reader no escopo da assinatura
C) Função Contributor no escopo da assinatura
D) Função Reader no escopo do grupo de gerenciamento pai
Questão 2 — Cenário Técnico
Uma desenvolvedora chamada Ana possui a função Contributor atribuída no escopo de um grupo de recursos chamado rg-producao. O administrador, verificando os acessos, percebe que Ana também aparece com permissões de leitura em um recurso individual dentro desse grupo de recursos, apesar de nenhuma atribuição direta ter sido feita para ela naquele recurso específico.
Qual é a explicação mais precisa para esse comportamento?
A) A função Contributor inclui permissões de leitura apenas em recursos do tipo virtual machine por padrão
B) O Azure RBAC utiliza herança de escopo, de forma que atribuições em um escopo pai se propagam automaticamente para escopos filhos
C) O recurso individual possui uma política de acesso padrão que concede leitura a todos os membros do grupo de recursos
D) A Ana possui uma atribuição oculta de Reader aplicada automaticamente pelo Microsoft Entra ID ao detectar o papel de Contributor
Questão 3 — Múltipla Escolha
Ao executar o comando abaixo, qual informação o administrador está consultando?
az role assignment list --assignee ana@contoso.com --all
A) Todas as definições de função disponíveis no Microsoft Entra ID que Ana pode assumir
B) Todas as atribuições de função do Azure RBAC associadas ao principal de Ana em todos os escopos acessíveis
C) Apenas as atribuições de função no escopo da assinatura ativa no contexto do CLI
D) As permissões efetivas de Ana calculadas após a aplicação de deny assignments
Questão 4 — Cenário Técnico
Um administrador analisa a tela de Access Control (IAM) de um recurso de Storage Account e observa a seguinte atribuição:
| Principal | Tipo | Função | Escopo atribuído |
|---|---|---|---|
| Equipe-Ops | Grupo | Storage Blob Data Reader | Assinatura |
| Carlos | Usuário | Storage Blob Data Owner | Storage Account |
| Equipe-Ops | Grupo | Reader | Grupo de Recursos |
Carlos é membro do grupo Equipe-Ops. Ao tentar excluir um blob, qual nível de permissão efetiva Carlos possui sobre os blobs dessa Storage Account?
A) Apenas leitura, pois a função Reader do grupo prevalece sobre atribuições individuais
B) Apenas leitura, pois atribuições de grupo sempre sobrepõem atribuições individuais
C) Storage Blob Data Owner, pois o Azure RBAC é aditivo e a atribuição individual mais permissiva em escopo mais específico se aplica
D) Nenhuma permissão, pois há conflito entre as atribuições do grupo e a atribuição individual
Questão 5 — Verdadeiro ou Falso
No Azure RBAC, uma deny assignment aplicada a um usuário em um escopo específico bloqueia as permissões negadas mesmo que o usuário possua uma atribuição de função Owner nesse mesmo escopo.
Verdadeiro ou Falso?
Gabarito e Explicações
Gabarito — Questão 1
Resposta: B
A função Reader concede permissão de leitura a todos os recursos dentro do escopo onde é atribuída, sem permitir modificações nem gerenciamento de acesso. Aplicá-la na assinatura garante cobertura de todos os recursos filhos por herança de escopo, atendendo ao requisito de menor privilégio.
A alternativa A (Owner) concede controle total, incluindo gerenciamento de acesso, o que viola o requisito. A alternativa C (Contributor) permite criar e modificar recursos, também acima do necessário. A alternativa D aplica o escopo no grupo de gerenciamento pai, o que extrapolaria os limites da assinatura e violaria o princípio de menor privilégio ao abranger outras assinaturas filhas.
Gabarito — Questão 2
Resposta: B
O Azure RBAC funciona com modelo de herança de escopo hierárquico: grupo de gerenciamento > assinatura > grupo de recursos > recurso. Uma atribuição feita em um escopo pai é automaticamente herdada por todos os escopos filhos. Como Ana possui Contributor no grupo de recursos, essa permissão se propaga para todos os recursos individuais contidos nele, sem necessidade de atribuição explícita no recurso.
As demais alternativas descrevem comportamentos inexistentes: não há restrição por tipo de recurso na herança, não existe política de leitura padrão implícita, e o Microsoft Entra ID não cria atribuições ocultas automaticamente com base em outras funções.
Gabarito — Questão 3
Resposta: B
O parâmetro --assignee filtra as atribuições pelo principal informado, e o flag --all expande a consulta para além do escopo da assinatura ativa, incluindo grupos de recursos e recursos individuais. O resultado lista objetos de role assignment, não definições de função.
A alternativa A confunde atribuições com definições de função. A alternativa C descreve o comportamento sem o flag --all, que limitaria a consulta ao escopo padrão. A alternativa D confunde o conceito de permissões efetivas calculadas com o que o comando realmente retorna; para permissões efetivas, o recurso correto seria az role assignment list combinado com análise manual ou o painel de Effective permissions no portal.
Gabarito — Questão 4
Resposta: C
O Azure RBAC é aditivo: todas as atribuições de função aplicáveis a um principal são somadas. Como Carlos é membro do grupo Equipe-Ops, ele herda Storage Blob Data Reader (escopo: assinatura) e Reader (escopo: grupo de recursos). Além disso, possui atribuição direta de Storage Blob Data Owner na Storage Account. O conjunto resultante inclui todas essas permissões. A função Owner de blobs permite leitura, escrita e exclusão de blobs, sendo a permissão determinante para a operação solicitada.
O erro conceitual dos distratores A e B é supor que há precedência ou sobreposição entre atribuições de grupo e individuais, o que não existe no modelo RBAC padrão. O distrator D descreve um comportamento inexistente; conflitos de atribuição aditiva não resultam em negação, apenas deny assignments causam bloqueio explícito.
Gabarito — Questão 5
Resposta: Verdadeiro
Deny assignments têm precedência sobre qualquer atribuição de função, incluindo Owner. Esse é um comportamento intencional e fundamental do modelo de autorização do Azure RBAC: enquanto as atribuições de função concedem acesso de forma aditiva, deny assignments bloqueiam permissões específicas de forma explícita e não podem ser sobrescritas por funções, independentemente do nível de privilégio da função atribuída.
Isso é relevante especialmente em contextos onde Azure Blueprints ou políticas de governança criam deny assignments para proteger configurações críticas. Um administrador com Owner que encontra operações bloqueadas inesperadamente deve verificar deny assignments como primeira hipótese, pois elas não aparecem como atribuições de função comuns na aba IAM.